Discussion :

[FrontLine]

Bonjour et bonne année à tous !

quelqu'un connaît un script, une classe ou un bon début de code pour purger une chaine HTML svp ?

Je m'explique en fait je cherche à autoriser le HTML aux utilisateurs mais tout de même purger les mauvaise balises comme bloquage du javascript (balise et dans attribut), certains attributs comme style, class, etc.
Une sorte de strip_tags() amélioré en gros.

Le mieux que j'ai trouvé est HTML purifier qui sur le papier est parfais mais dans la pratique efface la moitié du contenu et en plus consomme 4M de mémoire vive en exécution

J'espère pouvoir trouver de l'aide ici parce que le faire moi même en partant de rien j'en ai pour une semaine et je vais laisser des failles grosses comme celles de Windows.

[Deallyra]

Bonsoir,

Si tu veux une strip_tags() améliorée, il va te falloir la coder intégralement afin de valider ou non les différentes balises permises.

A ma connaissance ^^

[FrontLine]

Le problème c'est que je ne connaît pas avec exactitude les balises et attributs dont il faut se méfier, autant partir sur quelque chose ou une liste existante.

A ma connaissance ^^

Pour ta connaissance voici quelque script du style : http://htmlpurifier.org/comparison.html

HTML purifier est très gourmand et trop restrictif, il vire la moitié du contenu passé en argument hélas.

Je continu mes recherches ...

[s.n.a.f.u]

Salut,

Autoriser le HTML pour les entrées utilisateur ne se fait quasiment plus, sûrement à cause des problèmes de sécurité.
Pourquoi ne pas plutôt te tourner vers un système de BBCode ? C'est plus la tendance actuelle il me semble...

[Deallyra]

Je ne vois pas en quoi ton post à rapport à ma citation...

A quelle raison souhaites-tu laisser les utilisateurs utiliser du HTML?

S'il s'agit de faire de la mise en forme pour leurs textes, je rejoins Jml94 sans hésitation.

[FrontLine]

Je ne vois pas en quoi ton post à rapport à ma citation...

J'ai du mal comprendre, je pensais que tu disais que si je voulais un strip_tags() amélioré je devrais le coder intégralement car à ta connaissance je ne trouverais rien de déjà entamé... Ce n'est pas ce que tu as voulu dire ?

A quelle raison souhaites-tu laisser les utilisateurs utiliser du HTML?

S'il s'agit de faire de la mise en forme pour leurs textes, je rejoins Jml94 sans hésitation.

Autoriser le HTML pour les entrées utilisateur ne se fait quasiment plus, sûrement à cause des problèmes de sécurité.
Pourquoi ne pas plutôt te tourner vers un système de BBCode ?

J'utilise BBcode pour certaines choses mais là j'ai besoin de nettoyer du HTML retourné par FCKeditor et par XML. Enfin bref je cherche depuis hier sans succès, je vais commencer à me le faire, ce n'est pas gagné vue le nombre de balise HTML et attributs à prendre en compte.

[goodpz]

Je dirais plutôt que le html dans les commentaires revient en force depuis quelques temps. Depuis l'avènement des blogs surtout. Même chose pour la syntaxe wiki. D'après moi, Les bbcodes sont sur le déclin.

Perso, j'utilise tidy (http://tidy.sourceforge.net/) pour dégrossir et normaliser les données html en plus de DOM pour autoriser explicitement ce que je veux garder. Je préfère cette méthode plutôt que les solutions à base de HTML Purifier et compagnie. Il est très fortement déconseillé d'utiliser strip_tags(). Une page intéressante par l'auteur de HTML Purifier qui compare certaines méthodes: http://htmlpurifier.org/comparison.html (en anglais)

[FrontLine]

Merci pour ta réponse

J'ai testé les scripts concurrents de HTML purifier, ce n'est pas trop ça.

en plus de DOM pour autoriser explicitement ce que je veux garder

Tu parles de la classe DOMDocument de php5 ? Si oui mince je n'avais pas vue qu'on pouvait l'utiliser pour garder uniquement ce qu'on veux, je vais relire les méthodes de DOM pour voir de quoi tu parles...

Tidy j'ai testé hier, j'ai cru pendant un moment avoir enfin trouvé ce qu'il me fallait mais apparemment non car il réagit bizarrement.
Par exemple si il parse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert('Du JS en boîte');</script>

Il me retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<script type="text/javascript">
<script>alert('Du JS en boîte');</script>
</script>

Egalement <img src="" /> Tidy vire le / soit <img src="">

Tidy te fait la même chose ? Ou il y a une config qui m'est passé à coté ?

Il est très fortement déconseillé d'utiliser strip_tags()

Par rapport à quoi ?

D'après moi, Les bbcodes sont sur le déclin.

Je ne sais pas si elle sont sur le déclin mais pour moi le HTML est déjà un très bon langage de structuration, le BBcode est bon que pour se limiter à un strict minimum.

[goodpz]

J'utilise la dernière version de tidy disponible dans leur repository CVS. On peut configurer pas mal de chose, tout est expliqué sur la page de tidy sur sourceforge. Tidy seule ne fait pas tout le boulot (ce n'est pas son rôle). Ensuite je parcours le DOM pour autoriser explicitement ce que je veux garder.

strip_tags() n'est pas assez sûr si utilisé comme seule méthode de filtrage. Des "tags" interdits peuvent se retrouver dans l'output si un tag parent est autorisé. Il y a également des techniques pour induire en erreur strp_tags(). Pas mal de sites internet décrivent ces problèmes.

[FrontLine]

Ok merci pour les précisions.

Bon je vais me faire ça à coup de regex, y a plus qu'à trouver les bonnes règles.